В пятницу, 24 ноября, сервис для хранения изображений Imgur сообщил об утечке данных. Были скомпрометированы 1,7 миллиона аккаунтов. Это произошло еще в 2014 году, но раскрыли утечку только на прошлой неделе, когда о ней сообщил Трой Хант, специалист в области кибербезопасности и владелец сервиса «Have I been pwned?». В тот же день сервис развернул кампанию по ликвидации последствий.
I want to recognise @imgur's exemplary handling of this: that's 25 hours and 10 mins from my initial email to a press address to them mobilising people over Thanksgiving, assessing the data, beginning password resets and making a public disclosure. Kudos! https://t.co/jV8MDscXLT
— Troy Hunt (@troyhunt) November 25, 2017
В блоге компании главный операционный директор Imgur Рой Сегал опубликовал обращение к пользователям, в котором разъяснил ситуацию. Утечка затронула только информацию о паролях и электронных адресах, поскольку сервис никогда не требовал у пользователей предоставлять персональную информацию — реальные имя, адрес или телефонный номер. Однако владельцев аккаунтов предупредили о необходимости срочно сменить пароли.
Одной из причин утечки мог быть устаревший алгоритм хеширования паролей (SHA-256), который сервис использовал в то время. С прошлого года Imgur перешел на новый алгоритм bcrypt.
Источник: блог Imgur